您的瀏覽器似乎不支援JavaScript語法,但沒關係,這裡的JavaScript語法並不會影響 到內容的陳述, 如需要選擇字級大小,IE6請利用鍵盤按住ALT鍵+ V → X → (G)最大 (L)較大(M)中(S)較小(A)小,來選擇適合您的文字大小, 而IE7或Firefox瀏覽器則可 利用鍵盤 Ctrl + (+)放大(-)縮小來改變字型大小,如需要回到上一頁可使用瀏覽器提 供的 Alt+左方向鍵(←) 快速鍵功能,列印可使用瀏覽器提供的(Ctrl+P)功能。
News Detail Banner
> 首頁 > 資安新聞

資安新聞

企業監聽HTTPS傳輸協定存在風險

美國國土安全部(Department of Homeland Security, DHS)轄下的美國電腦緊急應變小組(US-CERT)於3/16向全美企業提出警告,表示可監聽超文字傳輸安全協定(Hypertext Transfer Protocol Secure, HTTPS)通訊的安全產品將會削弱傳輸層安全(Transport Layer Security, TLS)協定的安全性,危及位於該產品之後的所有系統。TLS與其前身安全資料傳輸層(Secure Sockets Layer, SSL)協定,可加密客戶端與伺服器端的網路通訊,利用憑證來建立身分鏈,以確保客戶端所通訊的對象是經過驗證的合法伺服器。而進行HTTPS監聽的方法則是在客戶端與伺服器端之間建立一個中間代理人,類似中間人攻擊(man-in-the-middle)的手法,這些可執行HTTPS監聽的安全產品會先攔截流量、檢查流量內容,再重建連結。

企業使用HTTPS監聽產品有許多可能的原因,例如用來檢查利用HTTPS傳輸來連結惡意伺服器的惡意軟體。然而,US-CERT指出,此一架構的問題出在客戶端系統只能驗證自己與HTTPS監聽產品之間的通訊,必須仰賴監聽產品驗證伺服器的真偽,若這些監聽產品未能執行適當的驗證或正確傳達驗證狀態,就可能讓客戶端落入中間人攻擊的風險中。因此,US-CERT建議企業在計畫導入HTTPS監聽產品時,必須仔細評估其利弊,同時採用其他的措施來確保端對端的通訊安全。

Reference

資料來源:
http://computerworld.com/article/3182484/security/us-cert-some-https-inspection-tools-could-weaken-security.html
https://www.us-cert.gov/ncas/alerts/TA17-075A
http://www.ithome.com.tw/news/112860
國家資通安全會報技術服務中心整理

Publish Date
2017/4/14 0:00:00